c.m.g
21-02-2017, 15:13
martedì 21 febbraio 2017
A Mountain View scovano e pubblicano un bug di Windows, dopo aver atteso che a Redmond chiudessero il buco. Attesa prolungata dal rinvio del martedì delle patch
Milano - La storia di bug e patch tra Microsoft e Google si arricchisce di un nuovo capitolo: nelle scorse ore da Mountain View è giunta notizia di un bug che affligge Windows e il suo sottosistema grafico, un bug che in teoria avrebbe dovuto essere stato chiuso un anno fa ma che - secondo Google - ha lasciato ancora una porta aperta ai malintenzionati. Le segnalazioni inviate dagli scopritori a Microsoft non hanno sortito effetto: dopo 90 giorni è scattata la policy Project Zero di Big G, con la conseguente pubblicazione dei dettagli sul problema.
Da quanto si apprende, la patch MS16-074 emessa da Microsoft lo scorso giugno 2016 era destinata ad arginare una vulnerabilità legata alla libreria Windows Graphics Component GDI: un file EMF, che tipicamente contiene asset destinati alla grafica, può essere osato per attuare un attacco che offra accesso alla memoria del sistema. Si può sfruttare questa vulnerabilità per iniettare o prelevare informazioni dal PC vittima, così da poter introdurre codice indesiderato o sottrarre dati sensibili dalla memoria.
Il bug, come detto, sarebbe dovuto essere stato oggetto di una patch già rilasciata: ma non tutto è andato come avrebbe dovuto, i ricercatori di Google se ne sono accorti e hanno fatto presente il problema a Microsoft. Hanno atteso, invano, per 90 giorni una risposta di qualche tipo: risposta che non è mai arrivata. Da qui la decisione di rilasciare le informazioni sul problema, allo scopo di mettere sull'avviso gli utenti: una politica intrapresa da qualche tempo in quel di Mountain View, che già in precedenza ha visto agitarsi un po' le acque tra California e Washington e che non farà felici i tecnici di Redmond.Microsoft d'altra parte sta prendendo le misure alla nuova politica di gestione della sicurezza per il proprio software, che prevede nuovi meccanismi di rilascio delle patch: inoltre a febbraio il consueto patch tuesday, il primo del nuovo corso, è saltato ed è stato rinviato al prossimo mese a causa di una imperfetta soluzione a un bug che ha convinto i tecnici di Big M a rimandarne la pubblicazione. Da Redmond non hanno voluto chiarire quale fosse il problema che ha spinto a questa mossa praticamente senza precedenti da oltre 10 anni (il patch tuesday è nato nel 2003): non resta che attendere marzo per scoprire quale sarà la mole delle patch rilasciate, ormai mancano pochi giorni.
Luca Annunziata
Fonte: Punto Informatico (http://punto-informatico.it/4372366/PI/News/google-corregge-microsoft-corto-patch-tuesday.aspx)
A Mountain View scovano e pubblicano un bug di Windows, dopo aver atteso che a Redmond chiudessero il buco. Attesa prolungata dal rinvio del martedì delle patch
Milano - La storia di bug e patch tra Microsoft e Google si arricchisce di un nuovo capitolo: nelle scorse ore da Mountain View è giunta notizia di un bug che affligge Windows e il suo sottosistema grafico, un bug che in teoria avrebbe dovuto essere stato chiuso un anno fa ma che - secondo Google - ha lasciato ancora una porta aperta ai malintenzionati. Le segnalazioni inviate dagli scopritori a Microsoft non hanno sortito effetto: dopo 90 giorni è scattata la policy Project Zero di Big G, con la conseguente pubblicazione dei dettagli sul problema.
Da quanto si apprende, la patch MS16-074 emessa da Microsoft lo scorso giugno 2016 era destinata ad arginare una vulnerabilità legata alla libreria Windows Graphics Component GDI: un file EMF, che tipicamente contiene asset destinati alla grafica, può essere osato per attuare un attacco che offra accesso alla memoria del sistema. Si può sfruttare questa vulnerabilità per iniettare o prelevare informazioni dal PC vittima, così da poter introdurre codice indesiderato o sottrarre dati sensibili dalla memoria.
Il bug, come detto, sarebbe dovuto essere stato oggetto di una patch già rilasciata: ma non tutto è andato come avrebbe dovuto, i ricercatori di Google se ne sono accorti e hanno fatto presente il problema a Microsoft. Hanno atteso, invano, per 90 giorni una risposta di qualche tipo: risposta che non è mai arrivata. Da qui la decisione di rilasciare le informazioni sul problema, allo scopo di mettere sull'avviso gli utenti: una politica intrapresa da qualche tempo in quel di Mountain View, che già in precedenza ha visto agitarsi un po' le acque tra California e Washington e che non farà felici i tecnici di Redmond.Microsoft d'altra parte sta prendendo le misure alla nuova politica di gestione della sicurezza per il proprio software, che prevede nuovi meccanismi di rilascio delle patch: inoltre a febbraio il consueto patch tuesday, il primo del nuovo corso, è saltato ed è stato rinviato al prossimo mese a causa di una imperfetta soluzione a un bug che ha convinto i tecnici di Big M a rimandarne la pubblicazione. Da Redmond non hanno voluto chiarire quale fosse il problema che ha spinto a questa mossa praticamente senza precedenti da oltre 10 anni (il patch tuesday è nato nel 2003): non resta che attendere marzo per scoprire quale sarà la mole delle patch rilasciate, ormai mancano pochi giorni.
Luca Annunziata
Fonte: Punto Informatico (http://punto-informatico.it/4372366/PI/News/google-corregge-microsoft-corto-patch-tuesday.aspx)